Cisco Adaptive Security Appliance(ASA)是Cisco ASA系列的核心操作系统,以多种形式为ASA设备提供企业级防火墙功能。Cisco Firepower Threat Defense (FTD) 是Cisco的防火墙产品。
今日,默安科技应急响应安全中心获悉Cisco披露了两个产品的Web服务界面存在任意文件下载漏洞。未经身份验证的攻击者可通过构造特定的HTTP请求来利用该漏洞。成功利用该漏洞的攻击者可以进行目录遍历并下载Web服务文件系统的任意文件。
默安科技的哨兵云·智能资产风险监控系统目前已支持该漏洞的检测。如果您的企业存在相关风险,可以联系我们辅助检测是否受到此类漏洞影响,以免被攻击者恶意利用,造成品牌和经济损失。
漏洞描述
Cisco ASA和Cisco FTD的web服务页面存在任意文件下载漏洞。通过该漏洞,攻击者可以在未授权的情况下任意下载文件。攻击者只需要发送精心构造的HTTP请求,就可以获取文件内容。攻击者可利用该漏洞控制组件,影响数据的保密性和完整性。
该漏洞无需经过身份验证,但只能读取Web服务文件系统的任意文件。对于ASA或FTD的系统文件或底层操作系统(OS)文件则无法访问。
受影响版本
-
Cisco ASA:<= 9.6,9.7, 9.8, 9.9, 9.10, 9.12, 9.13, 9.14
-
Cisco FTD:6.2.2 , 6.2.3 , 6.3.0 , 6.4.0 , 6.5.0 , 6.6.0
- Cisco ASA9.5版及更早版本以及9.7版已经停止更新和维护,建议迁移安全版本
漏洞检测
对于该漏洞,目前默安科技的哨兵云资产风险监控系统已支持通过安装相关应急插件进行检测,如下图所示。
修复建议
官方目前已经发布最新补丁,可参考链接:
https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-ro-path-KJuQhB86
来源:freebuf.com 2020-07-24 14:38:50 by: 默安科技
请登录后发表评论
注册